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Android 安全 架构 的 理解 不 仅 帮 助 我 了 解 Android 的 工作 原理 ， 而 且 为 我 开店 了 如 何 构建 移动 
操作 系统 和 Linux 的 眼界 。 本章 从 安全 角度 讲解 Android 架构 的 基础 知识 。 在 第 1.1 节 中 ， 
我 们 会 描述 Android 的 主要 层级 ， 而 第 1.2 节 给 出 了 在 此 操作 系统 中 实现 的 安全 机 制 的 高 级 
概述 。 


1.1 Android 技术 栈 


Android 是 一 个 用 于 各 种 移动 设备 的 软件 栈 ， 以 及 由 Google 领导 的 相应 开源 项 目 [9] 。 
Android 由 四 个 层 组 成 : Linux 内 核 ， 本 地 用 户 空间 ， 应 用 程序 框架 和 应 用 程序 层 。 有 时 本 地 
用 户 空间 和 应 用 程序 框架 层 被 合并 到 一 个 层 中 ， 称 为 Android 中 间 件 层 。 图 1.1 表示 
Android 软件 栈 的 层级 。 粗略 地 说 ， 在 这 个 图 中 ， 绿 色 块 对 应 在 C/C++ 中 开发 的 组 件 ， 而 蓝 
色 对 应 在 Java 中 实现 的 组 件 。 Google 在 Apache 2.0 许可 证 下 分 发 了 大 部 分 Android 代 

码 。 此 规则 最 值得 注意 的 例外 是 Linux 内 核 中 的 更 改 ， 这 些 更 改 在 GNU GPL V2 许可 证 下 。 
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图 1.1 : Android 软件 栈 





Linux 内 核 层 。 在 2005 年 被 Google 认识 之 前 ，Android 是 Android Inc. 公司 的 初创 产品 。 创 
业 公 司 的 特点 之 一 是 ， 他 们 倾向 于 最 大 限度 地 重复 利用 已 经 存在 的 组 件 ， 以 减少 其 产品 的 时 
间 和 成 本 。 Android 公司 选择 Linux 内 核 作为 他 们 新 平台 的 核心 。 在 Android 中 ，Linux 内 核 
负责 进程 ， 内 存 ， 通 信 ， 文 件 系 统管 理 等 。 虽 然 Android 主要 依赖 于 “vanilla" Linux 内 核 功 
能 ， 但 是 已 经 做 出 了 系统 操作 所 需 的 几 个 自 定义 更 改 。 其 中 Binder (一 个 驱动 程序 ， 提 供 对 
Android 中 的 自 定义 RPC / IPC 机 制 的 支持 ) ，Ashmem (替代 标准 的 Linux 共享 内 存 功 

能 ) ，Wakelocks (一 种 防止 系统 进入 睡眠 的 机 制 ) 是 最 值得 注意 的 更 改 [19]。 虽 然 这 些 变化 
被 证 明 在 移动 操作 系统 中 非常 有 用 ， 但 它们 仍然 在 Linux 内 核 的 主要 分 支 之 外 。 


本 地 用 户 空间 层 。 通 过 本 地 用 户 空间 ， 我 们 可 了 解 在 Dalvik 虚拟 机 之 外 运行 的 所 有 用 户 空间 
组 件 ， 并 且 不 属于 Linux Kernel 层 。 这 个 层 的 第 一 个 组 件 是 硬件 抽象 层 (HAL) ， 它 与 Linux 
内 核 和 本 地 用 户 空间 层 之 间 实 际 上 是 模糊 的 。 在 Linux 中 ， 硬 件 驱 动 程序 瞪 入 到 内 核 中 或 作 
为 模块 动态 加 载 。 虽 然 Android 是 建立 在 Linux 内 核 之 上 ， 它 利用 了 一 种 非常 不 同 的 方法 来 
支持 新 的 硬件 。 相 反 ， 对 于 每 种 类 型 的 硬件 ，Android 定义 了 一 个 API， 它 由 上 层 使 用 并 用 于 


与 这 种 类 型 的 硬件 交互 。 硬 件 供 应 商 必 须 提 供 一 个 软件 模块 ， 负 责 实 现在 Android 中 为 这 
特定 类 型 的 硬件 定义 的 APl。 因 此 ， 此 解决 方案 不 再 允许 Android 将 所 有 可 能 的 o 


oy 


核 ， 并 禁用 动态 模块 加 载 内 核 机 制 。 提 供 此 功能 的 组 件 在 Android 中 称 为 硬件 抽象 层 。 此 
外 ， 这 样 的 架构 解决 方案 允许 硬件 供应 商 选 择 许可 证 ， 在 其 下 分 发 它们 的 驱动 程序 [18,19] © 


内 核 通 过 启动 一 个 名 为 init 的 用 户 空间 进程 来 完成 其 启动 。 此 过 程 负责 启动 Android 中 的 所 
有 其 他 进程 和 服务 ， 以 及 在 操作 系统 中 执行 一 些 操作 。 例如， 如 果 关 键 服务 在 Android 中 停 
止 应 答 ，init 进程 可 以 重新 启动 它 。 该 进程 根据 init.rc 配置 文件 执行 操作 。 工具 箱包 括 基 
本 的 二 进 制 文件 ， 在 Android [19] 中 提供 shell 工具 的 功能 。 


Android 还 依赖 于 一 些 关键 的 守护 进程 。 它 在 系统 启动 时 启动 ， 并 在 系统 工作 时 保持 它们 运 
行 。 例 如 ， rild (无 线 接口 层 守 护 进 程 ， 负 责 基带 处 理 器 和 其 他 系统 之 间 的 通 

信 ) > servicemanager (一 个 守护 进程 ， 它 包含 在 Android 中 运行 的 所 有 Binder 服务 的 索 
2|) ，adbd (Android Debug Bridge 守护 进程 ， 作 为 主机 和 目标 设备 之 间 的 连接 管理 器 ) 
等 o 

本 地 用 户 空间 中 最 后 一 个 组 件 是 本 地 库 。 有 两 种 类 型 的 本 地 库 : 来 自 外 部 项 目的 本 地 库 ， 以 
及 在 Android 自身 中 开发 的 本 地 库 。 这些 库 被 动态 加 载 并 为 Android 进程 提供 各 种 功能 

[19] ° 


应 用 程序 框架 层 。Dalvik 是 Android 的 基于 寄存 器 的 虚拟 机 。 它 允许 操作 系统 执行 使 用 Java 
语言 编写 的 Android 应 用 程序 。 在 构建 过 程 中 ，Java 类 被 编译 成 由 Dalvik VM 解释 

的 .dex 文件 。Dalvik VM 特别 设计 为 在 受 限 环境 中 运行 。 此 外 ，Dalvik VM 提供 了 与 系统 其 
余部 分 交互 的 功能 ， 包 括 本 地 二 进 制 和 库 。 为 了 加 速 进程 初始 化 过 程 ，Android 利用 了 一 个 名 
为 Zygote 的 特定 组 件 。 这 是 一 个 将 所 有 核心 库 链接 起 来 的 特殊 “ 预 热 "过 程 。 当 新 应 用 程序 即 
将 运行 时 ，Android 会 从 Zygote 分 配 一 个 新 进程 ， 并 根据 已 启动 的 应 用 程序 的 规范 设置 该 进 
程 的 参数 。 该 解决 方案 允许 操作 系统 不 将 链接 库 复制 到 新 进程 中 ， 从 而 加 快 应 用 程序 启动 操 
作 。 在 Android 中 使 用 的 Java 核心 库 ， 是 从 Apache Harmony 项 目 借 用 的 。 


系统 服务 是 Android 的 最 重要 的 部 分 之 一 。Android 提供 了 许多 系统 服务 ， 它 们 提供 了 基本 
的 移动 操作 系统 功能 ， 供 Android 应 用 开发 人 员 在 其 应 用 中 使 用 。 例 

如 ， PackageManagerService 负 责 管理 (安装 > Lat > Ml RẸ) 操作 系统 中 的 Android & ° 使 
用 INI 接口 系统 服务 可 以 与 本 地 用 户 空 间 层 的 守护 进程 ， 工 具 箱 二 进 制 文件 和 本 地 库 进 行 交 
互 。 公 共 API 到 系统 服务 都 是 通过 Android 框架 库 提供 的 。 应 用 程序 开发 人 员 使 用 此 API 与 
系统 服务 进行 交互 。 


Android 应 用 程序 层 。Android 应 用 程序 是 在 Android 上 运行 的 软件 应 用 程序 ， 并 为 用 户 提 供 
大 多 数 功能 。 Stock Android 操作 系统 附带 了 一 些 称 为 系统 应 用 程序 的 内 置 应 用 程序 。 这 些 
是 作为 AOSP 构建 过 程 的 一 部 分 编译 的 应 用 程序 。 此外， 用 户 可 以 从 许多 应 用 市 场 安 装 用 户 
应 用 ， 来 扩展 基本 功能 并 向 操作 系统 引入 新 的 功能 。 


1.2 Android 一 般 安 全 说 明 
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Android 的 核心 安全 原则 是 ， 对 手 应 用 程序 不 应 该 损害 操作 系统 资源 ， 用 户 和 其 他 应 用 程序 。 
为 了 促使 这 个 原则 的 执行 ，Android 是 一 个 分 层 操 作 系 统 ， 利 用 了 所 有 级 别提 供 的 安全 机 制 。 
专注 于 安全 性 ，Android 结合 了 两 个 层级 的 组 件 [? > ?]: Linux 内 核 层 和 应 用 程序 框架 层 
(参见 图 1.2) 。 


在 Linux 内 核 层 级 ， 每 个 应 用 程序 都 在 特殊 的 应 用 程序 沙 箱 中 运行 。 内核 通 过 使 用 标准 Linux 
设施 (进程 分 离 ， 以 及 通过 网 络 套 接 字 和 文件 系统 的 任意 访问 控制 ) 来 强制 隔离 应 用 程序 和 
操作 系统 组 件 。 这 种 隔离 的 实现 是 ， 为 每 个 应 用 程序 分 配 单独 的 Unix 用 户 (UID) 和 组 
(GID) 标识 符 。 这 种 架构 决策 强制 在 单独 的 Linux 进程 中 运行 每 个 应 用 程序 。 因 此 ， 由 于 
在 Linux 中 实现 的 进程 隔离 ， 在 默认 情况 下 ， 应 用 程序 不 能 相互 干扰 ， 并 且 对 操作 系统 提供 
的 设施 具有 有 限 的 访问 。 因此 ， 应 用 程序 沙 盒 确保 应 用 程序 不 能 耗 尽 操作 系统 资源 ， 并 且 不 
能 与 其 他 应 用 程序 交互 [3] 。 


Applications 





图 1.2 : Android 内 核实 施 中 的 两 个 层级 


Linux 内 核 层 提供 的 强制 机 制 ， 有 效 地 使 用 沙 箱 ， 将 应 用 程序 与 其 他 应 用 程序 和 系统 组 件 隔 
& e 同时 ， 需 要 有 效 的 通信 协议 来 允许 开发 人 员 重 用 应 用 组 件 并 与 操作 系统 单元 交互 。 该 协 
议 称 为 进程 间 通 信 (IPC) ， 因 为 它 能 够 促进 不 同 进程 之 间 的 交互 。 在 Android 中 ， 此 协议 
在 Android 中 间 件 层 实 现 (在 Linux 内 核 层 上 发 布 的 特殊 驱动 程序 ) 。 此 层级 的 安全 性 由 
IPC 引用 监控 器 提供 。 引用 监控 器 调解 进程 之 间 的 所 有 通信 ， 并 控制 应 用 程序 如 何 访 问 系统 
的 组 件 和 其 他 应 用 程序 。 在 Android 中 ，IPC 引用 监控 器 遵循 强制 访问 控制 (MAC) 访问 控 
制 类 型 。 


默认 情况 下 ， 所 有 Android 应 用 都 在 低 特 权 应 用 程序 沙 箱 中 运行 。 因 此 ， 应 用 程序 只 能 访问 
一 组 有 限 的 系统 功能 。Android 操作 系统 控制 应 用 程序 对 系统 资源 的 访问 ， 这 可 能 会 对 用 户 
体验 造成 不 利 影响 [3] 。 该 控制 以 不 同 的 形式 实现 ， 其 中 一 些 在 以 下 章节 中 详细 描述 BA 
部 分 受 保护 的 系统 功能 (人 例如， 摄像头， 电话 或 GPS 功能 ) ， 其 访问 权限 应 该 提供 给 第 三 方 
应 用 程序 。 然而， 这 种 访问 应 以 受 控 的 方式 提供 。 在 Android 中 ， 这 种 控制 使 用 权限 来 实 
现 。 基 本 上 ， 每 个 提供 受 保护 系统 资源 的 访问 的 敏感 API 都 被 分 配 有 一 个 权限 

(Permission) - 它 是 唯一 的 安全 标签 。 此 外 ， 受 保护 特性 还 可 能 包括 其 他 应 用 的 组 件 。 


为 了 使 用 受 保 护 的 功能 ， 应 用 程序 的 开发 者 必须 在 文件 AndroidManifest.xml 中 请 求 相应 的 权 
限 。 在 安装 应 用 程序 期 间 ，Android 操作 系统 将 解析 此 文件 ， 并 向 用 户 提供 此 文件 中 声明 的 
权限 列表 。 应 用 程序 的 安装 根据 “全 有 或 全 无 "原则 进行 ， 这 意味 着 仅 当 接受 所 有 权限 时 才 安 
装 应 用 程序 。 否则 ， 将 不 会 安装 应 用 程序 。 权限 仅 在 安装 时 授予 ， 以 后 无 法 修改 。 作为 权限 
的 示例 ， 我 们 考虑 需要 监控 SMS 传 入 消息 的 应 用 程序 。 在 这 种 情况 

下 ， AndroidManifest.xml 文件 必须 在 <uses-permission> 标签 中 包含 以 下 上 声 


8] : android.permission.RECEIVE SMS ° 


应 用 程序 尝试 使 用 某 个 功能 ， 并 且 该 功能 尚未 在 Android 清单 文件 中 声明 ， 通 常会 产生 安全 
性 异常 。 在 下 面 几 节 中 我 们 会 讲解 权限 实现 机 制 的 细节 。 
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作为 最 广为人知 的 开源 项 目 之 一 ，Linux 已 经 被 证 明 是 一 个 安全 ， 可 信和 稳定 的 软件 ， 全 世界 
数 千 人 对 它 进 行 研究 ， 攻 击 和 打 补 丁 。 不 出 所 料 ，Linux 内 核 是 Android 操作 系统 的 基础 
[3]。Android 不 仅 依 赖 于 Linux 的 进程 ， 内 存 和 文件 系统 管理 ， 它 也 是 Android 安全 架构 中 
最 重要 的 组 件 之 一 。 在 Android 中 ，Linux 内 核 负责 配置 应 用 沙 盒 ， 以 及 规范 一 些 权限 。 


2.4 LAWS 


让 我 们 考虑 一 个 Android 应 用 安装 的 过 程 。Android 应 用 以 Android 软件 包 ( .apk ) 文件 的 
形式 分 发 。 一 个 包 由 Dalvik 可 执行 文件 ， 资 源 ， 本 地 库 和 清单 文件 组 成 ， 并 由 开发 者 签名 来 
签名 。 有 三 个 主要 媒介 可 以 在 Android 操作 系统 的 设备 上 安装 软件 包 : 


e Google Play 
。 软件 包 安 装 程序 
e adb install 工具 


Google Play 是 一 个 特殊 的 应 用 ， 它 为 用 户 提供 查找 由 第 三 方 开发 人 员 上 传 到 市 场 的 应 用 ， 以 
及 安装 该 应 用 的 功能 。 虽 然 它 也 是 第 三 方 应 用 ， 但 Google Play 应 用 (因为 使 用 与 操作 系统 
相同 的 签名 进行 签名 ) 可 访问 Android 的 受 保 护 组 件 ， 而 其 他 第 三 方 应 用 则 缺少 这 些 组 件 。 
如 果 用 户 从 其 他 来 源 安装 应 用 ， 则 通常 隐 式 使 用 软件 包 安 装 程序 。 此 系统 应 用 提供 了 用 于 启 
动 软件 包 安 装 过 程 的 界面 。 由 Android 提供 的 adb install 工具 主要 由 第 三 方 应 用 开发 人 员 使 
用 。 虽 然 前 两 个 媒介 需要 用 户 在 安装 过 程 中 同意 权限 列表 ， 但 后 者 会 安静 地 安装 应 用 。 这 就 
是 它 主要 用 于 开发 工具 的 原因 ， 旨 在 将 应 用 安装 在 设备 上 进行 测试 。 该 过 程 如 图 2.1 HEF 
部 分 所 示 。 此 图 显示 了 Android 安全 体系 结构 的 更 详细 的 概述 。 我 们 将 在 本 文中 参考 它 来 解 
释 这 个 操作 系统 的 特性 。 


在 Linux 内 核 层 配置 应 用 沙 箱 的 过 程 如 下 。 在 安装 过 程 中 ， 每 个 包 都 会 被 分 配 一 个 唯一 的 用 
户 标识 符 (UID) 和 组 标识 符 (GID) ， 在 设备 的 应 用 生命 周期 内 不 会 更 改 。 因此， 在 
Android 中 每 个 应 用 都 有 一 个 相应 的 Linux 用 户 。 用 户 名 遵循 格式 appx ， 并 且 该 用 户 的 
UID 等 于 Process.FIRST APPLICATION UID + x ， 其 中 Process.FIRST APPLICATION UID 常量 对 应 
于 10000 。 例 如 ， 在 图 2.1 T ^ exi.apk 包 在 安装 期 间 获 得 了 用 户 名 app 1 ，UID 等 于 


10001 ° 





A 2.1 : Android 安全 架构 


E Linux 中 ， 内 存 中 的 所 有 文件 都 受 Linux 自 定义 访问 控制 (DAC) 的 约束 。 访 问 权限 由 文 
件 的 创建 者 或 所 有 者 为 三 种 用 户 类 型 设置 : 文件 的 所 有 者 ， 与 所 有 者 在 同一 组 中 的 用 户 和 所 
有 其 他 用 户 。 对 于 每 种 类 型 的 用 户 ， 分 配 读 ， 写 和 执行 ( r-w-x ) 权限 的 元 组 。 因 此 ， 因 为 
每 个 应 用 都 有 自己 的 UID 和 GID * Linux 内 核 强制 应 用 在 自己 的 隔离 地 址 空间 内 执行 。 除 此 
之 外 ， 应 用 唯一 的 UID 和 GID 由 Linux 内 核 使 用 ， 以 实现 不 同 应 用 之 间 的 设备 资源 〈 内 存 ， 
CPU 等 ) 的 公平 分 离 。 安 装 过 程 中 的 每 个 应 用 也 会 获得 自己 的 主 目录 ， 例 

如 /data/data/package name ， 其 中 package name 是 Android 软件 包 的 名 称 ， 例 

如 com.ex.exi ° Æ Android 中 ， 这 个 文件 夹 是 内 部 存储 目录 ， 其 中 应 用 将 私有 数据 放 在 里 
面 。 分 配给 此 目录 的 Linux 权限 只 允许 “所 有 者 "应 用 写 入 并 读 取 此 目录 。 有 一 些 例外 应 该 提 
到 。 使 用 相同 证 书签 名 的 应 用 能 够 在 彼此 之 间 共 享 数 据 ， 可 以 拥有 相同 的 UID 或 甚至 可 以 在 
相同 的 进程 中 运行 。 


这 些 架构 决策 在 Linux 内 核 层 上 建立 了 高 效 的 应 用 沙 箱 。 这 种 类 型 的 沙 箱 很 简单 ， 并 基于 
Linux 可 选 访问 控制 模型 (DAC) 的 验证 。 幸 运 的 是 ， 因 为 沙 爹 在 Linux 内 核 层 上 执行 ， 本 
地 代码 和 操作 系统 应 用 也 受到 本 章 [3] 中 所 描述 的 这 些 约束 的 约束 。 


2.2 Linux 内 核 层 上 的 权限 约束 


通过 将 Linux 用 户 和 组 所 有 者 分 配给 实现 此 功能 的 组 件 ， 可 以 限制 对 某 些 系统 功能 的 访问 。 
这 种 类 型 的 限制 可 以 应 用 于 系统 资源 ， 如 文件 ， 驱 动 程序 和 套 接 字 。 Android 使 用 文件 系统 
权限 和 特定 的 内 核 补丁 〈 称 为 Paranoid Networking) [13] 来 限制 低级 系统 功能 的 访问 ， 如 网 
络 套 接 字 ， 摄 像 机 设备 ， 外 部 存储 器 ， 日 志 读 取 能 力 等。 


使 用 文件 系统 权限 访问 文件 和 设备 驱动 程序 ， 可 以 限制 进程 对 设备 某 些 功能 的 访问 。 例 如 ， 
这 种 技术 被 应 用 于 限制 应 用 对 设备 相机 的 访问 。 /dev/ cam 设备 驱动 程序 的 权限 设置 

为 6660 ， 属 于 root 所 有 者 和 摄像 机 所 有 者 组 。 这 意味 着 只 有 以 root 身份 运行 或 包含 在 摄 
像 机 组 中 的 进程 才能 读 取 和 写 入 此 设备 驱动 程序 。 因 此 ， 仅 包括 在 相机 组 中 的 应 用 程序 可 以 
与 相机 交互 。 权 限 标签 和 相应 组 之 问 的 映射 在 文件 框架 /base/data/etc/platform.xml P Æ 
义 ， 摘 录 如 清单 2.1 所 示 。 因 此 ， 在 安装 过 程 中 ， 如 果 应 用 程序 已 请 求 访问 摄像 机 功能 ， 并 
且 用 户 已 批准 该 应 用 程序 ， 则 还 会 为 此 应 用 程序 分 配 一 个 摄像 机 Linux 组 GID (请 参阅 清单 
2.1 中 的 第 8 行 和 第 9 行 ) 。 因 此 ， 此 应 用 程序 可 以 从 /dev/cam 设备 驱动 程序 读 取信 息 。 


<permissions> 


«permission name="android.permission. INTERNET" > 
<group gid="inet" /> 
</permission> 
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<permission name="android.permission.CAMERA" > 
<group gid="camera" /> 

10 </permission> 

12 <permission name="android.permission.READ_LOGS" > 
13 <group gid="log" /> 

14 </permission> 


16 </permissions> 


代码 2.1 : 权限 标签 和 Linux 组 之 间 的 映射 


Android 中 有 一 些 地 方 可 以 用 于 设置 文件 、 驱 动 和 Unix 套 接 字 的 文件 系统 权限 : init 程 
序 ，init.rc 配置 文件 ， ueventd.rc 配置 文件 和 系统 ROM 文件 系统 配置 文件 。 它们 在 第 3 


章 中 会 详细 讨论 。 


在 传统 的 Linux 发 行 版 中 ， 允 许 所 有 进程 启动 网 络 连 接 。 同 时， 对 于 移动 操作 系统 ， 必 须 控 
制 对 网 络 功能 的 访问 。 为 了 在 Android 中 实现 此 控制 ， 需 要 添加 特殊 的 内 核 补丁 ， 将 网 络 设 
施 的 访问 限制 于 属于 特定 Linux 组 或 具有 特定 Linux 功能 的 进程 。 这 些 针 对 Android 的 Linux 
内 核 补丁 已 经 获得 了 Paranoid 网 络 的 名 称 。 例如 ， 对 于 负责 网 络 通信 的 AF_INET 套 接 字 地 址 
族 ， 此 检查 在 kernel/net/ipv4/af_inet.c 文件 中 执行 (参见 清单 2.2 中 的 代码 片段 ) ° Linux 
组 和 Paranoid 网 络 的 权限 标签 之 间 的 映射 也 在 platform.xml 文件 中 设置 (例如 ， 参 见 清单 
2.1 中 的 第 4 行 ) 。 


{ 
J 


#else 


{ 


#endif 


pipe pa pa pac pen t 
O0 50NPOOO0-IOococB50o0NHPÀD 


Vis 


a 


NBER 
C OON 


{ 


NNNN 
AUNE 


#ifdef CONFIG_ANDROID_PARANOID_NETWORK 
#include <linux/android_aid.h> 


static inline int current has network ( void ) 


return in egroup p (AID INET) || capable (CAP NET RAW) ; 





static inline int current has network ( void ) 


return J 


* Create an inet socket 


static int inet create ( struct net *net , struct socket *sock , int protocol , 


int kern ) 


25 if (!current has network() ) 


27 
28 ) 


26 return -EACCES; 


代码 2.2 : Paranoid 网 络 补 丁 


类 似 的 Paranoid 网 络 补丁 也 适用 于 限制 访问 IPv6 和 蓝牙 [19] © 


这 些 检 查 中 使 用 的 常量 在 内 核 中 硬 编码 ， 并 在 kernel/include/linux/android aid.h 文件 中 规 
定 (参见 清单 2.3) © 


#ifndef 
#define 


/* AIDS 
#define 
#define 
#define 
#define 
10 #define 
11 #define 
12 #define 
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14 #endif 


LINUX ANDROID. AID H 
LINUX ANDROID. AID H 


that the kernel treats differently */ 

AID OBSOLETE 000 3001 /* was NET BT ADMIN */ 

AID OBSOLETE 001 3002 /* was NET BT */ 

AID INET 3003 

AID NET RAW 3004 

AID NET ADMIN 3005 

AID NET BW STATS 3006 /* read bandwidth statistics */ 

AID NET BW ACCT 3007 /* change bandwidth statistics accounting */ 





代码 2.3 : 硬 编码 在 Linux 内 核 中 的 Android ID 常量 


因此 ， 在 Linux 内 核 层 ， 通 过 检查 应 用 程序 是 否 包含 在 特殊 预定 义 的 组 中 来 实现 Android 权 
限 。 只 有 此 组 的 成 员 才 能 访问 受 保 护 的 功能 。 在 应 用 程序 安装 期 间 ， 如 果 用 户 已 同意 所 请 求 
的 权限 ， 则 该 应 用 程序 包括 在 相应 的 Linux 组 中 ， 因 此 获得 对 受 保 护 功能 的 访问 。 


ys 
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第 三 章 Android 本 地 用 户 空间 层 安 全 


来 源 : Yury Zhauniarovich | Publications 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


本 地 用 户 空 间 层 在 Android 操作 系统 的 安全 配置 中 起 到 重要 作用 。 不 理解 在 该 层 上 发 生 了 什 
么 ， 就 不 可 能 理解 在 系统 中 如 何 实施 安全 架构 决策 。 在 本 章 中 ， 我 们 的 主题 是 Android 引导 
过 程 和 文件 系统 特性 的 ， 并 且 描 述 了 如 何在 本 地 用 户 空 间 层 上 保证 安全 性 。 


3.1 Android 引导 过 程 


要 了 解 在 本 地 用 户 空间 层 上 提供 安全 性 的 过 程 ， 首 先 应 考虑 Android 设备 的 引导 顺序 。 要 注 
意 ， 在 第 一 步 中 ， 这 个 顺序 可 能 会 因 不 同 的 设备 而 剧 ， 但 是 在 Linux 内 核 加 载 之 后 ， 过 程 通 
常 是 相同 的 。 引 导 过 程 的 流程 如 图 3.1 所 示 。 
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图 3.1 : Android 启动 顺序 


当 用 户 打开 智能 手机 时 ， 设 备 的 CPU 处 于 未 初始 化 状态 。 在 这 种 情况 下 ， 处 理 器 从 硬 连 线 地 
址 开始 执行 命令 。 该 地 址 指向 Boot ROM 所 在 的 CPU 的 写 保 护 存储 器 中 的 一 段 代码 (参见 图 
3.4 中 的 步骤 1) 。 代 码 驻 留 在 Boot ROM 上 的 主要 目的 是 检测 Boot Loader (引导 加 载 程 
Fe) 所 在 的 介质 [17]。 检 测 完 成 后 ，Boot ROM 将 引导 加 载 程序 加 载 到 内 存 中 〈 仅 在 设备 通电 
ETA) ， 并 跳 转 到 引导 Boot Loader 的 加 载 代码 。 反 过 来 ，Boot Loader 建立 了 外 部 

RAM > 文件 系统 和 网 络 的 支持 。 之 后 ， 它 将 Linux 内 核 加 载 到 内 存 中 ， 并 将 控制 权 交 给 它 。 
Linux 内 核 初始 化 环境 来 运行 C 代码 ， 激 活 中 断 控制 器 ， 设 置 内 存 管理 单元 ， 定 义 调度 ， 加 
载 驱 动 程序 和 挂 载 根 文件 系统 。 当 内 存 管 理 单元 初始 化 时 ， 系 统 为 使 用 虚拟 内 存 以 及 运行 用 
户 空间 进程 [17] 做 准备 。 实 际 上 ， 从 这 一 步 开 始 ， 该 过 程 就 和 运行 Linux 的 台式 计算 机 上 发 生 
的 过 程 没什么 区 别 了 。 

第 一 个 用 户 空间 进程 是 init ， 它 是 Android 中 所 有 进程 的 祖先 。 该 程序 的 可 执行 文件 位 于 
Android 文件 系统 的 根 目 录 中 。 清单 3.1 包含 此 可 执行 文件 的 主要 部 分 。 可 以 看 出 ， init 二 
进 制 负责 创建 文件 系统 基本 条 目 (7 到 16 行 ) 。 之 后 (第 18 行 ) ， 程 序 解析 init.rc 配置 
文件 并 执行 其 中 的 命令 。 


1 int main( int argc, char **argv ) 

2{ 

3 TB 

4 if (!strcmp (basename( argv[0] ), "ueventd") ) 
5 return ueventd main ( argc, argv ) ; 

6 — 

7 mkdir("/dev", 0755) ; 

8 mkdir("/proc", 0755) ; 

9 mkdir("/sys", 0755) ; 

10 


Hs mount("tmpfs", "/dev", "tmpfs", MS NOSUID, "mode=0755") ; 
12 mkdir("/dev/pts", 0755) ; 

13  mkdir("/dev/socket", 0755) ; 

14 mount("devpts", "/dev/pts", "devpts", 0, NULL) ; 

15 mount("proc", "/proc", "proc", 0, NULL) ; 

16 mount("sysfs", "/sys", "sysfs", ©, NULL) ; 


18 init parseconfig file("/init.rc") ; 


代码 3.1 : init 程序 源码 


init.rc 配置 文件 使 用 一 种 称 为 Android Init Language 的 语言 编写 ， 位 于 根 目 录 下 。 这 个 配 
置 文件 可 以 被 想象 为 一 个 动作 列表 (命令 序列 ) ， 其 执行 由 预定 义 的 事件 触发 。 例 如 ， 在 清 
单 3.2 中 ，fs ( 行 1) 是 一 个 触发 器 ， 而 第 4-7 行 代表 动作 。 在 init.rc 配置 文件 中 编写 
的 命令 定义 系统 全 局 变量 ， 为 内 存 管理 设置 基本 内 核 参数 ， 配 置 文件 系统 等 。 从 安全 角度 来 

看 ， 更 重要 的 是 它 还 负责 基本 文件 系统 结构 的 创建 ， 并 为 创建 的 节点 分 配 所 有 者 和 文件 系统 

权限 。 


on fs 
# mount mtd partitions 
# Mount /system rw first to give the filesystem a chance to save a checkpoint 
mount yaffs2 mtd@system /system 
mount yaffs2 mtd@system /system ro remount 
mount yaffs2 mtdQuserdata /data nosuid nodev 
mount yaffs2 mtdQcache /cache nosuid nodev 


NOOBBRWNE 


代码 3.2 : 模拟 器 中 的 fs 触发 器 上 执行 的 动作 列表 


此 外 ， init 程序 负责 在 Android 中 启动 几 个 基本 的 守护 进程 和 进程 (参见 图 3.1 中 的 步骤 
5) 其 参数 也 在 init.rc 文件 中 定义 。 默认 情况 下 ， 在 Linux 中 执行 的 进程 以 与 祖先 相同 的 
权限 (在 相同 的 UID 下) 运行 。 在 Android 中 ，init 以 root 权 限 ( urp = o ) 启动 。 这 
意味 着 所 有 后 代 进 程 应 该 使 用 相同 的 UID 运行 。 幸运 的 是 ， 特 权 进 程 可 以 将 其 UID REAR 
少 特权 的 进程 。 因 此 ，init 进程 的 所 有 后 代 可 以 使 用 该 功能 来 指定 派生 进程 的 UID 和 
GID (所 有 者 和 组 也 在 init.rc 文件 中 定义 ) 。 


第 一 个 守护 进程 派生 于 init 进程 ， 它 是 ueventd 守护 进程 。 这 个 服务 运行 自己 的 main BK 
(参见 清单 3.1 中 的 第 5 行 ) ， 它 读 取 ueventd.rc 和 ueventd.[device name].rc 配置 文件 ， 
并 重 放 指 定 的 内 核 uevent_hotplug 事件 。 这 些 事 件 设置 了 不 同 设备 的 所 有 者 和 权限 (参见 清 
3.3) » 例如， 第 5 行 显示 了 如 何 设置 文件 系统 对 / dev/cam 设备 的 权限 ，2.2 节 中 会 涉及 

这 个 例子 。 之 后 ， 守 护 进程 等 待 监听 所 有 未 来 的 热 插 拔 事件 。 


ueventd.rc 


Jb ths 
2 /dev/ashmem 0666 root root 
3 /dev/binder 0666 root root 
au 
5 /dev/cam 0660 root camera 
6 TE. 


代码 3.3 : ueventd.rc X fF 


由 init 程序 启动 的 核心 服务 之 一 是 servicemanager (请 参阅 图 3.1 中 的 步骤 5) 。 OUR 
当 在 Android 中 运行 的 所 有 服务 的 索引 。 它 必须 在 早期 阶段 可 用 ， 因 为 以 ee 
服务 都 应 该 有 可 能 注册 自己 ， 从 而 对 操作 系统 的 其 余部 分 可 见 [19] 。 


init 进程 启动 的 另 一 个 核心 进程 是 Zygote。 Zygote 是 一 个 热身 完毕 的 特殊 进程 。 这 意味 着 
进程 已 经 被 初始 化 并 且 链 接 到 核心 库 。 Zygote 是 所 有 进程 的 祖先 。 当 一 个 新 的 应 用 启动 

E ' Zygote 会 派生 自己 。 之 后 ， 为 派生 子 进程 设置 对 应 于 新 应 用 的 参数 ， 例 如 UID * 

GID > nice-name 等 。 它 能 够 加 速 新 进程 的 创建 ， 因 为 不 需要 将 核心 库 复 制 到 新 进程 中 。 新 

进程 的 内 存 具 有 " 写 时 复制 " (COW) 保护 ， 这 意味 着 只 有 当 后 者 尝试 写 入 受 保护 的 内 存 时 ， 

数据 才 会 从 zygote 进程 复制 到 新 进程 。 从 而 ， 核 心 库 不 会 改变 ， 它 们 只 保留 在 一 个 地 方 ， 减 

少 内 存 消耗 和 应 用 启动 时 间 。 


使 用 Zygote 运行 的 第 一 个 进程 是 System Server (图 3.1 中 的 步骤 6) 。 这 个 进程 首先 运行 
本 地 服务 ， 例 如 SurfaceFlinger 和 SensorService » 在 服务 初始 化 之 后 ， 调 用 回调 ， 启 动 剩 
余 的 服务 。 所 有 这 些 服务 之 后 使 用 servicemanager 注册 。 


3.2 Android 文件 系统 


虽然 Android 基于 Linux 内 核 ， 它 的 文件 系统 层次 不 符合 文件 系统 层次 标准 [10]， 它 了 定义 类 
Unix 系统 的 文件 系统 布局 ( 见 清单 3.4) © Android 和 Linux 中 的 某 些 目录 是 相同 的 ， 例 

如 /dev ? /proc ? /sys ， /etc ， /mnt 等 。 这 些 文件 夹 的 用 途 与 Linux 中 的 相同 。 A 

时 ， 还 有 一 些 目录 ， 如 Cor > /data 和 /cache ， 它 们 不 存在 于 Linux 系统 中 。 这 些 文件 
X Android 的 核心 。 在 Android 操作 系统 的 构建 期 间 ， 会 创建 三 个 映像 文 

f: system.img °’ userdata.img fe cache. img ? 这 些 映像 提供 Android 的 核心 功能 ， 是 在 设 
备 的 闪存 上 存储 的 。 在 系统 引导 期 间 ， init 程序 将 这 些 映像 安装 到 预定 义 的 安装 点 ， 

如 /system ? /data fe /cache (参见 清单 3.2) 8 


drwxr-xr-x root root 2013-04-10 08 : 13 acct 

drwxrwx--- system cache 2013-04-10 08 : 13 cache 

dr-x------ root root 2013-04-10 08 : 13 config 

lrwxrwxrwx root root 2013-04-10 08 : 13 d -» /sys/kernel/debug 
drwxrwx--x system system 2013-04-10 08 : 14 data 

-rw-r--r-- root root 116 1970-01-01 00 : 00 default . prop 
drwxr-xr-x root root 2013-04-10 08 : 13 dev 

lrwxrwxrwx root root 2013-04-10 08 : 13 etc -> /system/etc 
-rwxr-x--- root root 244536 1970-01-01 00 : 00 init 

10 -rwxr-x--- root root 2487 1970-01-01 00 : 00 init . goldfish . rc 
11 -rwxr-x--- root root 18247 1970-01-01 00 : 00 init . rc 

12 -rwxr-x--- root root 1795 1970-01-01 00 : 00 init . trace . rc 
13 -rwxr-x--- root root 3915 1970-01-01 00 : 00 init . usb . rc 

14 drwxrwxr-x root system 2013-04-10 08 : 13 mnt 

15 dr-xr-xr-x root root 2013-04-10 08 : 13 proc 

16 drwx------ root root 2012-11-15 05 : 31 root 

17 drwxr-x--- root root 1970-01-01 00 : 00 sbin 

18 lrwxrwxrwx root root 2013-04-10 08 : 13 sdcard -» /mnt/sdcard 

19 d---r-x--- root sdcard r 2013-04-10 08 : 13 storage 

20 drwxr-xr-x root root 2013-04-10 08 : 13 sys 

21 drwxr-xr-x root root 2012-12-31 03 : 20 system 

22 -rw-r--r-- root root 272 1970-01-01 00 : 00 ueventd . goldfish . rc 
23 -rw-r--r-- root root 4024 1970-01-01 00 : 00 ueventd . rc 

24 lrwxrwxrwx root root 2013-04-10 08 : 13 vendor -> /system/vendor 
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代码 3.4 : Android 文件 系统 


/system 分 区 包含 整个 Android 操作 系统 ， 除 了 Linux 内 核 ， 它 本 身 位 于 /boot TRE ° 
文件 夹 包含 子 目录 /system/bin 和 /system/lib ， 它 们 相应 包含 核心 本 地 可 执行 文件 和 共享 

此 外 ， 此 分 区 包含 由 系统 映像 预先 构建 的 所 有 系统 应 用 。 映像 以 只 读 模式 安装 (参见 清 
单 3.2 中 的 第 5 行 ) 。 因 此 ， 此 分 区 的 内 容 不 能 在 运行 时 更 改 。 


因此 ， /system 分 区 被 挂 载 为 只 读 ， 它 不 能 用 于 存储 数据 。 为 此 ， 单 独 的 分 区 /data 负责 存 
储 随时 间 改 变 的 用 户 数据 或 信息 。 ， /data/app 目录 包含 已 安装 应 用 程序 的 所 有 apk 文 
件 ， 而 /data/data 文件 夹 包含 应 用 程序 的 home 目录 。 


/cache 分 区 负责 存储 经 常 访 问 的 数据 和 应 用 程序 组 件 。 此 外 ， 操 作 系 统 无 线 更 新 (PAY) 也 
在 运 aoo 区 上 。 


因此 ， 在 Android 的 编译 期 间 生 成 /system ， /data 和 /cache ， 这 些 映像 上 包含 的 文件 和 文 
件 夹 的 默认 权限 和 所 有 者 必须 在 编译 时 定义 。 这 意味 着 在 编译 此 操作 系统 期 间 ， 用 户 和 组 
UID 和 GID 应 该 可 用 。 Android 文件 系统 配置 文件 ( 见 清单 3.5) 包含 预定 义 的 用 户 和 组 的 
列表 。 应 该 提 到 的 是 ， 一 些 行 中 的 值 (例如 ， 参 见 第 10 行 ) 对 应 于 在 Linux 内 核 层 上 定义 的 
值 ， 如 第 2.2 节 所 述 。 


此 外 ， 文 件 和 文件 夹 的 默认 权限 ， 所 有 者 和 所 有 者 组 定义 在 该 文件 中 ( 见 清单 3.6) 。 这些 
规则 由 fs config() 函数 解析 并 应 用 ， 它 在 这 个 文件 的 末尾 定义 。 此 函数 在 映像 组 装 期 间 调 
用 o 


Zdefine AID ROOT O /* traditional unix root user */ 
Zdefine AID SYSTEM 1000 /* system server */ 

Zdefine AID RADIO 1001 /* telephony subsystem , RIL */ 
Zdefine AID BLUETOOTH 1002 /* bluetooth subsystem */ 
Zdefine AID GRAPHICS 1003 /* graphics devices */ 
#define AID INPUT 1004 /* input devices */ 

Zdefine AID AUDIO 1005 /* audio devices */ 

Zdefine AID CAMERA 1006 /* camera devices */ 
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10 #define AID_INET 3003 /* can create AF_INET and AF_INET6 sockets */ 
12 #define AID_APP 10000 /* first app user */ 


14 static const struct android_id_info android_ids [ ] = { 


15 { "root" , AID ROOT, }, 

16 { "system" , AID SYSTEM, }, 

17  £ "radio" , AID RADIO, }, 

18 1 "bluetooth" , AID BLUETOOTH, }, 
19 { "graphics" , AID GRAPHICS, }, 
20  £ "input" , AID INPUT, }, 

21 { "audio" , AID AUDIO, }, 

22 { "camera" , AID CAMERA, }, 

23 o4 

24 { "inet" , AID INET, }, 

25 Tug 

26 }; 


代码 3.5 : Android 中 硬 编码 的 UID 和 GID， 以 及 它们 到 用 户 名 称 的 映射 


3.2.1 本 地 可 执行 文件 的 保护 


在 清单 3.6 中 可 以 看 到 一 些 二 进 制 文件 分 配 有 setuid 和 setgid 访问 权限 标志 。 例 如 ， su 程 
序 设置 了 E 。 这 个 众所周知 的 工具 允许 用 户 运 行 具有 指定 的 UID 和 GID 的 程序 。 在 Linux 
中 ， 此 功能 通常 用 于 运行 具有 超级 用 户 权 限 的 程序 。 根 据 列表 3.6， 二 进 

制 /system/xbin/su 的 访问 权限 分 配 为 “06755" (LE 2141) 。 第 一 个 非 零 数 "6" 意 味 着 该 二 
进 制 具有 setuid 和 setgid ( 4 « 2 ) 访问 权限 标志 集 。 通 常 ， 在 Linux 中 ， 可 执行 文件 以 与 
启动 它 的 进程 相同 的 权限 运行 。 这 些 标签 允许 用 户 使 用 可 执行 所 有 者 或 组 的 权限 运行 程序 
[11]。 因 此 ， 在 我 们 的 例子 中 ， binary/system/xbin/su 将 以 root 用 户 身份 运行 。 这 些 root 权 


ee ede ele rq MU M A 
E>’ su 可 以 使 用 指定 的 UID fe GID 启动 提供 的 程序 (例如 ， 参 见 行 22) 。 因 此 ， 程 序 将 以 
所 需 的 UID fe GID 启动 。 


在 特权 程序 的 情况 下 ， 需 要 限制 可 访问 这 些 工具 的 应 用 程序 的 范围 。 在 我 们 的 这 里 ， 没 有 这 
样 的 限制 ， 任 何 应 用 程序 可 以 运行 su 程序 并 获得 root 级 别 的 权限 。 在 Android 中 ， 通 过 将 
调用 程序 的 UID 与 允许 运行 它 的 UID 列表 进行 比较 ， 来 对 本 地 用 户 空间 层 实现 这 种 限制 。 因 
此 ， 在 第 9 行 中 ， su 可 执行 文件 获得 进程 的 当前 UID， 它 等 于 调用 它 的 进程 的 UID， 在 

第 10 行 ， 它 将 这 个 UID 与 允许 的 UID 的 预定 列表 进行 比较 。 因此 ， 只 有 在 调用 进程 的 UID 
等 于 AID Roor 或 AID SHELL 时 ， su 工具 才 会 启动 。 为 了 执行 这 样 的 检查 ， su 导入 在 
Android 中 定义 的 UID 常量 ( 见 第 1 行 ) 。 


dE RUeSEROSEd Sectores 

2 static struct fs path config android dirs [ ] = { 
3 { 00770 , AID SYSTEM, AID CACHE, "cache" } , 

4  { 00771 , AID SYSTEM, AID SYSTEM, "data/app" } , 
5 on 

6 { 00777 , AID ROOT, AID ROOT, "sdcard" } , 

T { 00755 , AID_ROOT, AID_ROOT, 0 }, 

8 j; 

9 


TON ASNRUMeSSRONDIIOCS 
11 static struct fs path config android files [ ] = { 


42 48 

13 { 00644 , AID SYSTEM, AID SYSTEM, "data/app/*" } , 

14 { 00644 , AID MEDIA RW, AID MEDIA RW, "data/media/*" } , 
15 { 00644 , AID SYSTEM, AID SYSTEM, "data/app-private /*" ) , 
16 { 00644 , AID APP, AID APP, "data/data/*" ) , 

17 TU 

18  1( 02755 , AID ROOT, AID NET RAW, "system/bin/ping" ) , 
19 { 02750 , AID ROOT, AID INET, "system/bin/netcfg" } , 

20 445 

2 { 06755 , AID ROOT, AID ROOT, "system/xbin/su" } , 

22 TR 

23 { 06750 , AID_ROOT, AID_SHELL, "system/bin/run-as" } , 
24 { 00755 , AID ROOT, AID SHELL, "system/bin/*" } , 

25 sn 

26 { 00644 , AID ROOT, AID ROOT, 0}, 

20 


代码 3.6 : 默认 权限 和 所 有 者 


此 外 ， 在 较 新 的 版 本 (从 4.3 开始 ) > Android 核心 开发 人 员 开 始 使 用 Capabilities Linux 内 
核 系统 [4]。 这 允许 它们 额外 限制 需要 以 root 权限 运行 的 程序 的 权限 。 例如 ， 对 于 su 程序 来 
说 ， 它 不 需要 具有 root 用 户 的 所 有 特权 。 对 于 这 个 程序 ， 它 足以 有 能 力 修改 当前 的 UID 和 
GID » 因此 ， 此 工具 只 需要 CAP_SETUID 和 CAP_SETGID root 权限 来 正常 运行 。 
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#include <private/android_filesystem_config.h> 


int main( int argc, char **argv ) 
{ 

struct passwd *pw; 

int uid, gid, myuid ; 


/* Until we have something better , only root and the shell can use su 
myuid = getuid () ; 
if (myuid !- AID ROOT && myuid != AID SHELL) { 


fprintf ( stderr, "su : uid %d not allowed to su\n", myuid) ; 
Petunn I: 

} 

if ( setgid ( gid ) || setuid ( uid ) ) { 


fprintf (stderr, «sú n permission denired\na) y 
return E, 

} 

/* User specified command for exec . */ 


if ( argc == 3 ) { 
if ( execlp ( argv[2], argv[2], NULL) < 0) { 


fprintf ( stderr , "su : exec failed for %s Error:%s\n" , argv [2] , 
strerror ( errno ) ) ; 
return -errno ; 
} 
} 


代码 3.7 : su 程序 的 源 代码 


Ey 
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第 四 章 Android 框架 层 安全 


来 源 : Yury Zhauniarovich | Publications 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


如 我 们 在 第 1.2 节 中 所 描述 的 那样 ， 应 用 程序 框架 级 别 上 的 安全 性 由 IPC 引用 监视 器 实现 。 在 
4.1 节 中 ， 我 们 以 Android 中 使 用 的 进程 间 通 信和 系统 的 描述 开始 ， 讲 解 这 个 级 别 上 的 安全 机 
制 。 之 后 ， 我 们 在 4.2 节 中 引入 权限 ， 而 在 4.3 节 中 ， 我 们 描述 了 在 此 级 别 上 实现 的 权限 实 


4.1 Android Binder 框架 


如 2.1 节 所 述 ， 所 有 Android 应 用 程序 都 在 应 用 程序 沙 箱 中 运行 。 粗 略 地 说 ， 应 用 程序 的 沙 
箱 通 过 在 带 有 不 同 Linux 身份 的 不 同 进程 中 运行 所 有 应 用 程序 来 保证 。 此 外 ， 系 统 服务 也 在 
具有 更 多 特权 身份 的 单独 进程 中 运行 ， 允 许 它们 使 用 Linux Kernel DAC 功能 ， 访 问 受 保护 的 
系统 不 同 部 分 (参见 第 2.1, 2.2 和 1.2 节 ) 。 因 此 ， 需 要 进程 间 通 信 (IPC) 框架 来 管理 不 同 
进程 之 间 的 数据 和 信号 交换 。 在 Android 中 ， 一 个 称 为 Binder 的 特殊 框架 用 于 进程 间 通 信 
[12]。 标 准 的 Posix System V IPC 框架 不 支持 由 Android 实现 的 Bionic libc Æ (参见 这 

€) 。 此 外 ， 除 了 用 于 一 些 特殊 情况 的 Binder 框架 ， 也 会 使 用 Unix 域 套 接 字 (例如 ， 用 于 
与 Zygote 守护 进程 的 通信 ) ， 但 是 这 些 机 制 不 在 本 文 的 考虑 范围 之 内 。 


Binder 框架 被 特地 重新 开发 来 在 Android 中 使 用 。 它 提 供 了 管理 此 操作 系统 中 的 进程 之 间 的 
所 有 类 型 的 通信 所 需 的 功能 。 基 本 上 ， 甚 至 应 用 程序 开发 人 员 熟 知 的 机 制 ， 例 

如 Intents 和 ContentProvider ， 都 建立 在 Binder 框架 之 上 。 这 个 框架 提供 了 多 种 功能 ， 例 
如 可 以 调用 远程 对 象 上 的 方法 ， 就 像 本 地 对 象 那样 ， 以 及 同步 和 异步 方法 调用 ，Link to 
Death ( 某 个 进程 的 Binder 终止 时 的 自动 通知 ) ， 跨 进程 发 送 文 件 描述 符 的 能 力 等 等 [12,16] 


o 


根据 由 客户 端 -服务 器 同步 模型 组 织 的 进程 之 间 的 通信 。 客 户 端 发 起 连接 并 等 待 来 自 服务 端的 
回复 。 因此 ， 客 户 端 和 服务 器 之 间 的 通信 可 以 被 想象 为 在 相同 的 进程 线程 中 执行 。 这 为 开发 
人 员 提 供 了 调用 远程 对 和 象 上 的 方法 的 可 能 性 ， 就 像 它 们 是 本 地 的 一 样 。 通过 Binder 的 通信 模 
型 如 图 4.1 所 示 。 在 这 个 图 中 ， 客 户 端 进 程 A 中 的 应 用 程序 想 要 使 用 进程 B [12] 中 运行 的 服 
务 的 公开 行为 。 
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使 用 Binder 框架 的 客户 端 和 服务 之 间 的 所 有 通信 ， 都 通过 Linux 内 核 驱动 程 

Fe /dev/binder 进行 。 此 设备 驱动 程序 的 权限 设置 为 全 局 可 读 和 可 写 ( 见 3.1 节 中 的 清单 3.3 
中 的 第 3 行 ) 。 因 此 ， 任 何 应 用 程序 可 以 写 入 和 读 取 此 设备 。 为 了 隐藏 Binder 通信 协议 的 特 
性 ， libbinder 库 在 Android 中 使 用 。 它 提供 了 一 种 功能 ， 使 内 核 驱 动 程序 的 交互 过 程 对 应 

用 程序 开发 人 员 透 明 。 尤 其 是 ， 客 户 端 和 服务 器 之 间 的 所 有 通信 通过 客户 端 侧 的 代理 和 服务 

器 侧 的 桩 进行 。 代 理 和 桩 负责 编码 和 解码 数据 和 通过 Binder 驱动 程序 发 送 的 命令 。 为 了 使 用 
代理 和 桩 ， 开 发 人 员 只 需 定义 一 个 AIDL 接口 ， 在 编译 应 用 程序 期 间 将 其 转换 为 代理 和 桩 。 在 
服务 端 ， 调 用 单独 的 Binder 线程 来 处 理 客 户 端 请 求 。 


从 技术 上 讲 ， 使 用 Binder 机 制 的 每 个 公开 服务 (有 时 称 为 Binder 服务 ) 都 分 配 有 标识 。 内 核 
驱动 程序 确保 此 32 位 值 在 系统 中 的 所 有 进程 中 是 唯一 的 。 因 此 ， 此 标识 用 作 Binder 服务 的 
句柄 。 拥 有 此 句柄 可 以 与 服务 交互 。 然 而 ， 为 了 开始 使 用 服务 ， 窜 户 端 首先 必须 找到 这 个 
值 。 服 务 句 柄 的 发 现 通过 Binder 的 上 下 文 管理 器 ( servicemanager 是 Android Binder 的 上 下 
文 管理 器 的 实现 ， 在 这 里 我 们 互 换 使 用 这 些 概念 ) 来 完成 。 上 下 文 管理 器 是 一 个 特殊 的 
Binder 服务 ， 其 预定 义 的 句柄 值 等 于 0 ( 指 代 清 单 4.1 的 第 8 行 中 获得 的 东西 ) 。 因 为 它 有 
一 个 国定 的 句柄 值 ， 任 何 一 方 都 可 以 找到 它 并 调用 其 方法 。 基 本 上 ， 上 下 文 管理 器 充当 名 称 
服务 ， 通 过 服务 的 名 称 提供 服务 句柄 。 为 了 实现 这 个 目的 ， 每 个 服务 必须 注册 上 下 文 管理 器 
(例如 ， 使 用 第 26 行 中 的 ServiceManager 类 的 addservice 方法 ) 。 因 此 ， 客 户 端 可 以 仅 知 
道 与 其 通信 的 服务 名 称 。 使 用 上 下 文 管理 器 来 解析 此 名 称 (请 参阅 getservice 第 12 行 ) ， 
£ PF MERE AT SME LOI © Binder BARRA AHEREALTL ERE 
因此 ， servicemanager 是 由 Android 启动 的 第 一 个 服务 之 一 〈 见 第 3.1 
TY) ° servicemanager 组 件 确保 了 只 允许 特权 系统 标识 注册 服务 。 


Binder 框架 本 身 不 实施 任何 安全 性 。 同时 ， 它 提供 了 在 Android 中 实施 安全 性 的 设施 。 

Binder 驱动 程序 将 发 送 者 进程 的 UID 和 PID 添加 到 每 个 事务 。 因此 ， 由 于 系统 中 的 每 个 应 
用 具有 其 自己 的 UID， 所 以 该 值 可 以 用 于 识别 调用 方 。 调 用 的 接收 者 可 以 检查 所 获得 的 值 并 

且 决 定 是 否 应 该 完成 事务 。 接收 者 可 以 调 

用 android.os.Binder. getCallingUid() fe android.os.Binder. getCallingPid() [12] 来 获得 发 送 

者 的 UID 和 PID。 另 外 ， 由 于 Binder 多 柄 在 所 有 进程 中 的 唯一 性 和 其 值 的 模糊 性 [14]， 它 也 

可 以 用 作 安 全 标识 。 


1 public final class ServiceManager { 

2 T 

3 private static IServiceManager getIServiceManager() { 
4 if ( sServiceManager != null ) ( 

5 return sServiceManager ; 

6 
i 


// Find the service manager 


8 sServiceManager = ServiceManagerNative.asInterface( BinderInternal.getContextOb 
ject() ); 

9 return sServiceManager ; 

10 } 

"sp 

12 public static IBinder getService ( String name) { 

13 Ey 

14 IBinder service = sCache . get (name) ; 

15 if ( service != null ) { 

16 return service ; 

abr } else { 

18 return getIServiceManager().getService(name); 

19 

20 } catch (RemoteException e) { 

21 Log.e(TAG, "error in getService", e); 

22 } 

23 return null; 

2v. m 

25 

26 public static void addService( String name, IBinder service, boolean allowIsolate 
d) { 

2 try { 

28 getIServiceManager().addService(name, service, allowIsolated ); 
29 } catch (RemoteException e) { 

30 Log.e(TAG, "error in addService" , e); 

SHl 

on} 

33 

34 } 


代码 4.1: ServiceManager 的 源码 


4.2 Android 权限 


如 我 们 在 2.1 节 中 所 设计 的 那样 ， 在 Android 中 ， 每 个 应 用 程序 默认 获得 其 自己 的 UID 和 
GID 系统 标识 。 此 外 ， 在 操作 系统 中 还 有 一 些 硬 编码 的 标识 (参见 清单 3.5) 。 这 些 身份 用 
于 使 用 在 Linux 内 核 级 别 上 实施 的 DAC， 分 离 Android 操作 系统 的 组 件 ， 从 而 提高 操作 系统 
的 整体 安全 性 。 在 这 些 身份 中 ， AID svsrEM 最 为 显著 。 此 UID 用 于 运行 系统 服务 器 


( system server ) ， 这 个 组 件 统一 了 由 Android 操作 系统 提供 的 服务 。 系统 服务 器 具有 访 
问 操作 系统 资源 ， 以 及 在 系统 服务 器 内 运行 的 每 个 服务 的 特权 ， 这 些 服 务 提供 对 其 他 OS 组 
件 和 应 用 的 特定 功能 的 受 控 访问 。 此 受 控 访问 基于 权限 系统 。 


正如 我 们 在 4.1 节 中 所 提 及 的 ，Binder 框架 向 接收 方 提供 了 获 ROO MDa ID tae o 
在 一 般 情况 下 ， 该 功能 可 以 由 服务 利用 来 限制 想 要 连接 到 服务 的 消费 者 。 这 可 以 通过 将 消费 
者 的 UID 和 PID 与 服务 所 允许 的 UID 列表 进行 比较 来 实现 。 然 而 ， 在 Android 中 ， 这 种 功能 
以 略微 不 同 的 方式 来 实现 。 服 务 的 每 个 关键 功能 (或 简单 来 说 是 服务 的 方法 ) 被 称 为 权限 的 
特殊 标签 保护 。 粗 略 地 说 ， 在 执行 这 样 的 方法 之 前 ， 会 检查 调用 进程 是 否 被 分 配 了 权限 。 如 
果 调 用 进程 具有 所 需 权 限 ， 则 允许 调用 服务 。 否 则 ， 将 抛 出 安全 检查 蜡 常 GR 

常 ， SecurityException ) 。 例 如 ， 如 果 开 发 者 想 要 向 其 应 用 程序 提供 发 送 短 信 的 功能 ， 则 必 
须 将 以 下 行 添 加 到 应 用 程序 的 AndroidManifest.xml 文件 

中 : <uses-permission android:name ="android.permission.SEND_SMS"/> 。Android 还 提供 了 一 


组 特殊 调用 ， 人 允许 在 运行 时 检查 服务 使 用 者 是 否 已 分 配 权限 。 


到 目前 为 止 所 描述 的 权限 模型 提供 了 一 种 强化 安全 性 的 有 效 方法 。 同时 ， 这 个 模型 是 无 效 
的 ， 因 为 它 认为 所 有 的 权限 是 相等 的 。 在 移动 操作 系统 的 情况 下 ， 所 提供 的 功能 在 安全 意义 
上 并 不 总 是 相等 。 例 如 ， 安 装 应 用 程序 的 功能 比 发 送 SMS 的 功能 更 重要 ， 相 反 ， 发 送 SMS 
的 功能 比 设 置 警告 或 振动 更 危险 。 


这 个 问题 在 Android 中 通过 引入 权限 的 安全 级 别 来 解决 。 有 四 个 可 能 的 权限 级 

别 : normal ， dangerous ， signature 和 signatureOrSystem 。 权 限 级 别 要 么 硬 编 码 到 
Android 操作 系统 (对 于 系统 权限 ) ， 要 么 由 自 定义 权限 声明 中 的 第 三 方 应 用 程序 的 开发 者 分 
配 。 此 级 别 影响 是 否决 定向 请 求 的 应 用 程序 授予 权限 。 为 了 被 授予 权限 ， 正 常 的 权限 可 以 只 
在 应 用 程序 的 AndroidManifest.xml 文件 中 请 求 。 危 险 权 限 除 了 在 清单 文件 中 请 求 之 外 ， 还 必 
须 由 用 户 批准 。 在 这 种 情况 下 ， 安 装 应 用 程序 期 间 ， 安 装 包 所 请 求 的 权限 集会 显示 给 用 户 。 
如 果 用 户 批 准 它们 ， 则 安装 应 用 程序 。 否 则 ， 安 装 将 被 取消 。 如 果 请 求 权 限 的 应 用 与 声明 它 
的 应 用 拥有 相同 签名 ， (6.1 中 提 到 了 Android 中 的 应 用 程序 签名 的 用 法 ) ， 系 统 将 授 

T signature 权限 。 如 果 请 求 的 权限 应 用 和 声明 权限 的 使 用 相同 证 书签 名 ， 或 请 求 应 用 位 于 
系统 映像 上 ， 则 授予 signatureorsystem 权限 。 因 此 ， 对 于 我 们 的 n bue 功能 被 正常 级 别 
的 权限 保护 ， 发 送 SMS 的 功能 被 危险 级 别 的 权限 保护 ， 以 及 软件 包 安 装 功能 

被 signatureorSystem 权限 级 别 保护 。 


4.2.1 系统 权限 定义 


用 于 保护 Android 操作 系统 功能 的 系统 权限 在 框架 的 AndroidManifest.xml 文件 中 定义 ， 位 于 
Android 源 的 frameworks/base/core/res 文件 夹 中 。 这 个 文件 的 一 个 摘录 包含 一 些 权 限定 义 的 
例子 ， 如 代码 清单 4.2 Re 在 这 些 示例 中 ， 展 示 了 用 于 保护 发 送 SMS， 振 动 器 和 包 安 装 功 
能 的 权限 声明 。 


1 <manifest xmlns:android=" http://schemas.android.com/apk/res/android" 
2 package="android" coreApp="true" android: sharedUserId="android.uid.system" 
3 android: sharedUserLabel="@string/android_system_label "> 

4 400 

5 <!-- Allows an application to send SMS messages. > 

6 «permission android:name-"android.permission.SEND SMS" 

Ti android:permissionGroup-"android.permission-group.MESSAGES" 

8 android:protectionLevel-"dangerous" 

9 android:permissionFlags-"costsMoney" 

10 android: label="@string/permlab_sendSms" 

alal android:description="@string/permdesc _sendSms" /> 

12 400 

13 <I WALlows access to the vibrator ——= 

14  <permission android:name="android. permission. VIBRATE" 

15 android:permissionGroup-"android.permission-group.AFFECTS BATTERY" 
16 android: protectionLevel="normal" 

17 android: label="@string/permlab_vibrate" 

18 android: description="@string/permdesc_vibrate" /> 

19 Tun 

20 <!-- Allows an application to install packages. => 

21 «permission android:name-"android.permission.INSTALL PACKAGES" 

22 android: label="@string/permlab_installPackages" 

23 android:description-"Qstring/permdesc installPackages" 

24 android: protectionLevel="Signature|system" /> 

25 


26 </manifest> 


代码 4.2 : 系统 权限 的 定义 


默认 情况 下 ? 第 三 方 应 用 程序 的 开发 人 员 无 法 访问 受 Signature 和 signatureOrSystem 级 别 的 
系统 权限 保护 的 功能 。 这 种 行为 以 以 下 方式 来 保证 : 应 用 程序 框架 包 使 用 平台 证 书签 名 。 
此 ， 需 要 使 用 这 些 级 别 的 权限 保护 的 功能 的 应 用 程序 必须 使 用 相同 的 平台 证 书 进行 签名 。 A 
而 ， 仅 有 操作 系统 的 构建 者 才 可 以 访问 该 证 书 的 私 钥 ， 通 常 是 硬件 生产 者 (他 们 自己 定制 
Android) 或 电信 运营 商 (使 用 其 修改 的 操作 系统 映像 来 分 发 设备 ) 。 


4.2.2 权限 管理 


系统 服务 PackageManagerservice 负责 Android 中 的 应 用 程序 管理 。 此 服务 有 助 于 在 操作 系统 
中 安装 ， 印 载 和 更 新 应 用 程序 。 此 服务 的 另 一 个 重要 作用 是 权限 管理 。 基 本 上 ， 它 可 以 被 认 
为 是 一 个 策略 管理 的 要 素 。 它 存储 了 用 于 检查 Android 包 是 否 分 配 了 特定 权限 的 信息 。 此 
外 ， 在 应 用 程序 安装 和 升级 期 间 ， 它 执行 一 堆 检查 ， 来 确保 在 这 些 过 程 中 不 违反 权限 模型 的 
完整 性 。 此 外 ， 它 还 作为 一 个 策略 判定 的 要 素 。 此 服务 的 方法 《我 们 将 在 后 面 展示 ) 是 权限 
检查 链 中 的 最 后 一 个 元 素 9 我 们 不 会 在 这 里 考虑 PackageManagerService 的 操作 o 然而， 感 兴 
趣 的 读者 可 以 参考 [15,19] 来 获得 如 何 执行 应 用 安装 的 更 多 细节 。 


PackageManagerService 将 所 有 第 三 方 应 用 程序 的 权限 的 相关 信 息 存储 

在 /data/system/packages.xml [7] 中 。 该 文件 用 作 系 统 重 新 启动 之 间 的 永久 存储 器 。 但 是 ， 在 
运行 时 ， 所 有 有 关 权 限 的 信息 都 保存 在 RAM 中 ， 从 而 提高 系统 的 响应 速度 。 在 启动 期 间 ， 
此 信息 使 用 存储 在 用 于 第 三 方 应 用 程序 的 packages.xml 文件 中 的 数据 ， 以 及 通过 解析 系统 应 
用 程序 来 收集 。 


4.2.3 Android 框架 层 的 权限 实施 


为 了 了 解 Android 如 何在 应 用 程序 框架 层 强制 实施 权限 ， 我 们 考虑 Vibrator 服务 用 法 。 Aix 
单 4.3 的 第 6 行 中 ， 展 示 了 振动 器 服务 如 何 保护 其 方法 vibrate 的 示例 。 这 一 行 检 查 了 调用 
组 件 是 否 分 配 有 由 常量 android.Manifest.permission.VIBRATE 定义 的 标 

签 android.permission. VIBRATE ° Android 提供 了 几 种 方法 来 检查 发 送 者 (或 服务 使 用 者 ) 是 
否 已 被 分 配 了 权限 。 在 我 们 这 个 库 ， 这些 设施 由 方法 checkCallingOrSelfPermission 表示 ? 
除了 这 种 方法 ， 还 有 许多 其 他 方法 可 以 用 于 检查 服务 调用 者 的 权限 。 


1 public class VibratorService extends IVibratorService.Stub 

2 implements InputManager.InputDeviceListener { 

3 T 

4 public void vibrate ( long milliseconds, IBinder token ) £ 

5 if (mContext.checkCallingOrSelfPermission(android.Manifest.permission.VIBRATE) 
6 != PackageManager.PERMISSION GRANTED) { 

n throw new SecurityException("Requires VIBRATE permission"); 
8 } 

9 m 

10 } 

11 

ae 


代码 4.3 : 权限 的 检查 


方法 checkcallingorSelfPermission 的 实现 如 清单 4.4 所 示 。 在 第 24 行 中 ， 方 
法 checkPermission 被 调用 。 它 接收 uid 和 pid 作为 Binder 框架 提供 的 参数 。 


1 class ContextImpl extends Context { 

2 20-4 

3 @Override 

4 public int checkPermission ( String permission, int pid, int uid ) { 
5 if ( permission -- null ) ( 

6 throw new IllegalArgumentException ("permission is null ") ; 
7 } 

8 

9 try { 
10 return ActivityManagerNative.getDefault().checkPermission( 
all permission, pid, uid ); 
12 } catch (RemoteException e) { 
13 return PackageManager .PERMISSION_DENIED; 
14 } 
15 } 
16 


Ty @Override 

18 public int checkCallingOrSelfPermission ( String permission ) { 
19 if ( permission == null ) { 

20 throw new IllegalArgumentException("permission is null"); 
21 } 


23 return checkPermission( permission, Binder. getCallingPid(), 
24 Binder.getCallingUid() ); 


代码 4.4 : ContextImpl 类 的 摘录 


在 第 11 行 中 ? 检查 被 重 定 向 到 ActivityManagerService 类 ， 继 而 在 ActivityManager 组 件 的 
方法 checkcomponentPermission 中 执行 实际 检查 。 此 方法 的 代码 如 清单 4.5 所 示 。 在 第 4 行 
中 它 检查 调用 者 UID 是 否 拥 有 特权 。 具有 root 和 系统 UID 的 组 件 由 具有 所 有 权限 的 系统 授 


1 public static int checkComponentPermission ( String permission, int uid, 
2 int owningUid, boolean exported ) { 

3 // Root , system server get to do everything 

4 if ( uid == || uid == Process.SYSTEM_UID) { 

5 return PackageManager.PERMISSION GRANTED; 

6 
HW 
8 


// Isolated processes don ' t get any permissions 
if ( UserId.isIsolated ( uid ) ) { 
9 return PackageManager.PERMISSION DENIED; 


T4 // If there is a uid that owns whatever is being accessed , it has 
12 // blanket access to it regardless of the permissions it requires 
13 if (owningUid >= 0 && UserId.isSameApp(uid, owningUid) ) { 

14 return PackageManager .PERMISSION GRANTED; 


16 // If the target is not exported , then nobody else can get to it 
zu if (!exported) { 


18 Slog.w(TAG, "Permission denied: checkComponentPermission() owningUid=" + owning 
Uid) ; 

19 return PackageManager .PERMISSION_DENIED; 

20 3} 

21 if ( permission == null ) { 

22 return PackageManager.PERMISSION GRANTED; 

23 m; 

24 try { 

25 return AppGlobals.getPackageManager ( ) 

26 .checkUidPermission ( permission , uid ) ; 

27 } catch (RemoteException e) { 

28 // Should never happen , but if it does . . . deny ! 
29 Slog.e(TAG, "PackageManager is dead ?!?" , e) ; 

30 } 

31 return PackageManager.PERMISSION DENIED; 

32 } 


x 


代码 4.5 : ActivityManager 的 checkComponentPermission 方法 。 


在 清单 4.5 的 第 26 行 中 ， 权 限 检 查 被 重 定向 到 包 管 理 器 ， 将 其 转发 

到 PackageManagerservice ° 正如 我 们 前 面 解释 的 ， 这 个 服务 知道 分 配给 Android 包 的 权限 。 
执行 权限 检查 的 packageManagerservice 方法 如 清单 4.6 所 示 。 在 第 7 行 中 ， 如 果 将 权限 授予 
由 其 UID 定义 的 Android 应 用 程序 ， 则 会 执行 精确 检查 。 


1 public int checkUidPermission ( String permName, int uid ) { 

2 final boolean enforcedDefault = isPermissionEnforcedDefault(permName); 
3 synchronized (mPackages) { 

4 Object obj - mSettings.getUserIdLPr( UserHandle.getAppId( uid ) ); 
5 if ( obj != null ) ( 

6 GrantedPermissions gp = ( GrantedPermissions ) obj ; 

© if (gp.grantedPermissions.contains (permName) ) { 

8 return PackageManager.PERMISSION GRANTED; 

9 

10 ) else { 

alat HashSet<String> perms = mSystemPermissions.get ( uid ) ; 

12 if (perms != null && perms.contains (permName) ) { 

13 return PackageManager .PERMISSION_GRANTED; 

14 } 

15 

16 if (!isPermissionEnforcedLocked (permName, enforcedDefault ) ) ( 
w return PackageManager .PERMISSION_GRANTED; 

18 } 

19 ) 

20 return PackageManager .PERMISSION DENIED; 

21 3} 


代码 4.6 : PackageManagerService 的 checkUidPermission 方法 


第 五 章 Android 应 用 层 安 全 


来 源 : Yury Zhauniarovich | Publications 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


虽然 在 这 一 节 中 我 们 描述 了 应 用 层 的 安全 性 ， 但 是 实际 的 安全 实施 ; 
述 的 底层 。 但是， 在 介绍 应 用 层 之 后 ， 我 们 更 容易 解释 Android 的 一 些 安全 功能 。 
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5.1 应 用 组 件 


Android 应 用 以 Android 软件 包 ( apk ) 文件 的 形式 分 发 。 一 个 包 由 Dalvik 可 执行 文件 ， 
资源 文件 ， 清 单 文件 和 本 地 库 组 成 ， 并 由 应 用 的 开发 人 员 使 用 自 签名 证 书签 名 。 每 个 
Android 应 用 由 四 个 组 件 类 型 的 几 个 组 件 组 成 : 活动 (Activity) ， 服 务 (Service) ， 广 播 接 
收回 (Boardcast Reciver) 和 内 容 供应 器 (Content Provider) » 将 应 用 分 离 为 组 件 有 助 于 
应 用 的 一 部 分 在 应 用 之 间 重 用 。 


活动 。 活 动 是 用 户 界 面 的 元 素 之 一 。 一 般 来 说 ， 一 个 活动 通常 代表 一 个 界面 。 


服务 。 服 务 是 Android 中 的 后 台 工 作 装 置 。 服 务 可 以 无 限期 运行 。 最 知名 的 服务 示例 是 在 后 
台 播 放 音 乐 的 媒体 播放 器 ， 即 使 用 户 离 开 已 启动 此 服务 的 活动 。 


广播 接收 器 。 广播 接收 器 是 应 用 的 组 件 ， 它 接收 广播 消息 并 根据 所 获得 的 消息 启动 工作 流 。 


内 容 供 应 器 。 内 容 供 应 器 是 为 应 用 提供 存储 和 检索 数据 的 能 力 的 组 件 。 它 还 可 以 与 另 一 应 用 
共享 一 组 数据 。 


因此 ，Android 应 用 由 不 同 的 组 件 组 成 ， 没 有 中 央 入 口 点 ， 不 像 Java 程序 和 main 方法 那 
样 。 由 于 没有 入 口 点 ， 所 有 组 件 (广播 接收 器 除外 ， 它 也 可 以 动态 定义 ) 需要 由 应 用 的 开发 
人 员 在 AndroidManifest.xml 文件 中 声明 。 分离 成 组 件 使 得 我 们 可 以 在 其 它 应 用 中 使 用 组 件 。 
例如 ， 在 清单 5.1 中 ， 显 示 了 一 个 应 用 的 AndroidManifest.xml 文件 的 示例 。 此 应 用 包含 第 
21 行 中 声明 的 一 个 activity 。 其 他 应 用 可 能 会 调用 此 活动 ， 将 此 组 件 的 功能 集成 到 其 应 用 
中 。 


1 <?xml version="1.0" encoding="utf-8"?> 

2 <manifest xmlns:android="http://schemas.android.com/apk/res/android" 
3 package="com.testpackage. testapp" 

4 android:versionCode="1" 

5 android: versionName="1.0" 

6  android:sharedUserId-"com.testpackage.shareduid" 

区 android: sharedUserLabel="@string/sharedUserId" > 

8 


9 «uses-sdk android:minSdkVersion="10" /» 


10 

11 «permission android:name-"com.testpackage.permission.mypermission" 
12 android: label="@string/mypermission_string" 

13 android:description="@string/mypermission_descr_string" 

14 android:protectionLevel="dangerous" /> 

15 

16 <uses-permission android:name="android.permission.SEND_SMS"/> 

17 

18 <application 

19 android:icon="@drawable/ic_launcher" 

20 android:label="@string/app_name" > 

21 <activity android:name=".TestActivity" 

22 android:label="@string/app_name" 

23 android:permission-"com.testpackage.permission.mypermission" > 
24 sintent-fdbtern- 

25 «action android:name-"android.intent.action.MAIN" /» 

26 «category android:name-"android.intent.category.LAUNCHER" /» 
27 «/intent-filter» 

28 <intent filters 

29 «action android:name-"com.testpackage.testapp.MY ACTION" /> 
30 «category android:name-"android.intent.category.DEFAULT" /» 
31 </intent filters 

32 </activity> 


33 </application> 
34 </manifest> 


代码 5.1 : AndroidManifest.xml 文件 示例 


Android 提供 了 各 种 方式 来 调用 应 用 的 组 件 。 我 们 可 以 通过 使 用 方 

法 startActivity 和 startActivityForResult 启动 新 的 活动 。 服务 通过 startservice 方法 局 
动 。 在 这 种 情况 下 ， 被 调用 的 服务 调用 其 方法 onstart 。 当 开 发 人 员 要 在 组 件 和 服务 之 间 建 
立 连接 时 ， 它 调用 bindservice 方法 ， 并 在 被 调用 的 服务 中 调用 onin 方法 。 当 应 用 或 系统 
组 件 使 用 sendBroadcast ， sendorderedBroadcast 和 SendStickyBroadcast 方法 发 送 特殊 消 息 
时 ， 将 启动 广播 接收 器 。 


内 容 供 应 器 由 来 自 内 容 解 析 器 的 请 求 调用 。 所 有 其 他 组 件 类 型 通过 Intent (SA) 激活 。 意 
图 是 Android 中 基于 Binder 框架 的 特殊 通信 手段 。 意 图 被 传递 给 执行 组 件 调 用 的 方法 。 被 调 
用 的 组 件 可 以 被 两 种 不 同类 型 的 意图 调用 。 为 了 显示 这 些 类 型 的 差异 ， 让 我 们 考虑 一 个 例 

子 。 例 如 ， 用 户 想 要 在 应 用 中 选择 图 片 。 应 用 的 开发 人 员 可 以 使 用 显 式 意图 或 隐 式 意图 来 调 
用 选择 图 片 的 组 件 。 对 于 第 一 种 意图 类 型 ， 开 发 人 员 可 以 在 他 的 应 用 的 组 件 中 实现 挑选 功 
能 ， 并 使 用 带 有 组 件 名 称 数据 字段 的 显 式 意图 调用 此 组 件 。 当 然 ， 开 发 人 员 可 以 调用 其 他 应 
用 的 组 件 ， 但 是 在 这 种 情况 下 ， 他 必须 确保 该 应 用 安装 在 系统 中 。 一 般 来 说 ， 从 开发 人 员 的 
角度 来 看 ， 一 个 应 用 中 的 组 件 或 不 同 应 用 的 组 件 之 间 的 交互 不 存在 差异 。 对 于 第 二 种 意图 类 
型 ， 开 发 人 员 将 选择 适当 组 件 的 权利 转移 给 操作 系统 。 intent SRE 


其 Action ? Data 和 Category 字段 中 包 包含 一 些 信 息 。 o 根据 这 个 信息 心 ? 使 用 意 图 过 滤器 ， 操作 


系统 选择 可 以 处 理 意图 的 适当 组 件 。 意 图 过 滤器 定义 了 组 件 可 以 处 理 的 意图 的 “模板 "。 当 然 ， 
相同 的 应 用 可 以 定义 一 个 意图 过 滤器 ， 它 将 处 理 来 自 其 他 组 件 的 意图 。 


5.2 应 用 层 的 权限 


权限 不 仅 用 于 保护 对 系统 资源 的 访问 。 第 三 方 应 用 的 开发 人 员 还 可 以 使 用 自 定义 权限 来 保护 
对 其 应 用 的 组 件 的 访问 。 自 定义 权限 声明 的 示例 如 清单 5.1 中 第 11 行 所 示 。 自 定义 权限 的 声 
明 类 似 于 系统 权限 之 一 。 


为 了 说 明 自 定义 权限 的 用 法 ， 请 参考 图 5.19 由 3 个 组 件 组 成 的 应 用 2 希望 保护 对 其 中 两 个 的 
访问 :C1 和 C2。 为 了 实现 这 个 目标 ， 应 用 2 的 开发 者 必须 声明 两 个 权限 标签 pl ，p2 ， 并 
相应 地 将 它们 分 配给 受 保护 的 组 件 。 如 果 应 用 1 的 开发 者 想 要 访问 应 用 2 的 组 件 C1， 则 他 
obe ai 需要 权限 pl 。 在 这 种 情况 下 ， 应 用 1 就 可 以 使 用 应 用 2 的 组 件 C1。 如 果 
应 用 没有 指定 所 需 的 权限 ， 则 禁止 访问 受 此 权限 保护 的 组 件 (参见 图 5.1 中 组 件 C2 的 情 

JL) 。 he 5.1 中 的 AndroidManifest.xml 文件 的 例子 ， 活 动 TestActivity 被 
权限 com.testpackage.permission.mypermission 保护 ， 它 在 同一 个 应 用 清单 文件 中 声 明 。 如 果 
另 一 个 应 用 想 要 使 用 TestActivity 提供 的 功能 ， 它 必须 请 求 使 用 此 权限 ， 类 似 于 第 16 行 中 
的 操作 。 





Application 1 
Uses-permission: Application 2 


p1 








图 5.1 : 保护 第 三 方 应 用 组 件 的 权限 实施 


ActivityManagerService 负责 调用 应 用 的 组 件 。 为 了 保证 应 用 组 件 的 安全 性 ， 在 用 于 调用 组 
件 的 框架 方法 (例如 ，5.1 节 中 描述 的 startactivity ) 中 ， 放 置 特 殊 的 钩子 。 这 些 钩子 检查 
应 用 是 否 有 权 调 用 组 件 。 这 些 检查 以 PackageManagerserver 类 的 checkuidPermission 方法 结 

R (参见 清单 4.6) 。 因此 ， 发 生 在 Android 框架 层 的 实际 的 权限 实施 ， 可 以 看 做 Android 
操作 系统 的 受信 任 部 分 。 因此 ， 应 用 不 能 绕 过 检查 。 有关 如 何 调 用 组 件 和 权限 检查 的 更 多 信 
息 ， 请 青 参 见 [8] 。 
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Bx Android 安全 的 其 它 话 题 


来 源 : Yury Zhauniarovich | Publications 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


在 本 章 中 ， 我 们 会 涉及 到 与 Android 安全 相关 的 其 他 主题 ， 这 些 主题 不 直接 属于 已 经 涉及 的 
任何 主题 。 


6.1 Android 签名 过 程 


Android 应 用 程序 以 Android 应 用 包 文 件 ( .apk 文件 ) 的 形式 分 发 到 设备 上 。 由 于 这 个 平台 
的 程序 主要 是 用 Java 编写 的 ， 所 以 这 种 格式 与 Java 包 的 格式 -- jar (Java Archive) 有 很 
多 共同 点 ， 它 用 于 将 代码 ， 资 源 和 元 数据 (来 自 可 选 的 META-INF 目录 ) 文件 使 用 zip 归档 算 
法 转换 成 一 个 文件 。 META-INF 目录 存储 软件 包 和 扩展 配置 数据 ， 包 括 安全 性 ， 版 本 控制 
展 和 服务 [5]。 基本 上 ， 在 Android 的 情况 中 ， apkbuilder 工具 将 构建 的 项 目 na 
[1]， 使 用 标准 的 Java 工具 jarsigner 对 这 个 归档 文件 签名 [6]。 在 应 用 程序 签名 过 

中 ， jarsigner 创建 META-INF 目录 ， 在 Android 中 通常 包含 以 下 文件 : 清单 文件 

( MANIFEST.MF ) ， 签 名 文件 (扩展 名 为 .SF ) 和 签名 块 文件 ( .RSA 或 .DSA ) e 


清单 文件 ( MANIFEST.MF ) 由 主 属性 部 分 和 每 个 条 目 属性 组 成 ， 每 个 包含 在 未 签名 的 apk 中 
文件 拥有 一 个 条 目 。 这些 每 个 条 目 中 的 属性 存储 文件 名 称 信息 ， 以 及 使 用 base64 格式 编码 
的 文件 内 容 摘要 。 在 Android 上 ，SHA1 莫 法 用 于 计算 摘要 。 清单 6.1 中 提供 了 清单 文件 的 
摘录 。 

Manifest-Version : 1.0 

Created-By: 1.6.0 41 (Sun Microsystems Inc. ) 


Name: res/layout/main . xml 
SHA1-Digest : NJiYLN3mBEKTPibVXbFOS8eRCAr8- 


Name: AndroidManifest . xml 
SHA1-Digest : wBoSXxhOQ2LR/pJY7BczuisWLy4- 


ce -4o001i»0nNHB 


代码 6.1 : 清单 文件 的 摘录 


包含 被 签名 数据 的 签名 文件 ( .SF ) 的 内 容 类 似 于 MANIFEST.MF 的 内 容 。 这 个 文件 的 一 个 例 
子 如 清单 6.2 所 示 。 主要 部 分 包含 清单 文件 的 主要 属性 的 摘要 
( SHA1-Digest-Manifest-Main-Attributes ) 和 内 容 摘 要 ( SHA1-Digest-Manifest ) o 每 个 条 


包含 清单 文件 中 的 条 目的 摘要 以 及 相应 的 文件 名 。 


Signature-Version : 1.0 

SHA1-Digest-Manifest-Main-Attributes : nl/DtR972nRpjey6ocvNKvmjvw8- 
Created-By: 1.6.0 41 (Sun Microsystems Inc. ) 

SHA1-Digest-Manifest : Ej5gugx3DYaOLOm3Kh89ddgEJW4- 


Name: res/layout/main.xml 
SHA1-Digest : Z871jZHrhRKHDaGf2KA4p4fKgztk- 


Name: AndroidManifest.xml 
SHA1-Digest : hQtl1Gk+tKFLSXufjNaTwd9qd4Cw= 


FOOANDUHRWNE 


eH 


代码 6.2 : 签名 文件 的 摘录 


最 后 一 部 分 是 签名 块 文件 ( osa 或 .RSA ) 。 这 个 二 进 制 文件 包含 签名 文件 的 签名 版 本 ; 它 
与 相应 的 .sF 文件 具有 相同 的 名 称 。 根据 所 使 用 的 算法 (RSA 或 DSA) ， 它 有 不 同 的 扩展 
AZ o 


相同 的 apk 文 件 有 可 能 签署 几 个 不 同 的 证 书 。 在 这 种 情况 下 ， 在 META-INF 目录 中 将 有 几 
个 .SF 和 osa 或 ,RSA 文件 (它们 的 数量 将 等 于 应 用 程序 签名 的 次 数 ) © 


6.1.1 Android 中 的 应 用 签名 检查 


大 多 数 Android 应 用 程序 都 使 用 开发 人 员 签 名 的 证 书 (注意 Android 的 "证 书 " 和 "签名 "可 以 互 
换 使 用 ) 。 此 证 书 用 于 确保 原始 应 用 程序 的 代码 及 其 更 新 来 自 同一 位 置 ， 并 在 同一 开发 人 员 
的 应 用 程序 之 间 建 立信 任 关 系 。 为 了 执行 这 个 检查 ，Android 只 是 比较 证 书 的 二 进 制 表示 ， 
它 用 于 签署 一 个 应 用 程序 及 其 更 新 (第 一 种 情况 ) 和 协作 应 用 程序 (第 二 种 情况 ) © 


这 种 对 证 书 的 检查 通过 PackageManagerService 中 的 方 

法 int compareSignatures(Signature[] s1，Signature[] s2) 来 实现 ， 代码 如 清单 6.3 所 示 。 在 
上 一 节 中 ， 我 们 注意 到 在 Android 中 ， 可 以 使 用 多 个 不 同 的 证 书签 署 相同 的 应 用 程序 。 这 解 
释 了 为 什么 该 方法 使 用 两 个 签名 数组 作为 参数 。 尽 管 该 方法 在 Android 安全 规定 中 占有 重要 
地 位 ， 但 其 行为 强烈 依赖 于 平台 的 版 本 。 在 较 新 版 本 中 (从 Android 2.2 开始 ) ， 此 方法 比较 
两 个 signature 数组 ， 如 果 两 个 数组 不 等 于 null ， 并 且 如 果 所 有 s2 签名 都 包含 在 st 中， 
则 返回 SIGNATURE MATCH 值 ， 否 则 为 srGNATURE NOT MATCH 。 在 版 本 2.2 之 前 ， 此 方法 检查 数 
组 si 是 否 包 含 在 s2 中 。 这 种 行为 允许 系统 安装 升级 ， 即 使 它们 已 经 使 用 原始 应 用 程序 的 证 
书 子 集 签名 [2] 。 


在 几 种 情况 下 ， 需 要 同一 开发 人 员 的 应 用 程序 之 间 的 信任 关系 。 第 一 种 情况 
与 signature 和 signatureorsystem 的 权限 相关 。 要 使 用 受 这 些 权 限 保 护 的 功能 ， 声 明 权 限 和 
请 求 它 的 包 必 须 使 用 同一 组 证 书签 名 。 第 二 种 情况 与 Android 运行 具有 相同 UID 或 甚至 在 相 
同 Linux 进程 中 运行 不 同 应 用 程序 的 能 力 有 关 。 在 这 种 情况 下 ， 请 求 此 类 行为 的 应 用 程序 必 
须 使 用 相同 的 签名 进行 签名 。 


static int compareSignatures ( Signature[] si , Signature[] s2 ) { 
if ( s1 == null) ( 
return s2 == null 
? PackageManager.SIGNATURE NEITHER SIGNED 
PackageManager.SIGNATURE FIRST NOT SIGNED; 


} 
if ( s2 == null ) { 
return PackageManager .SIGNATURE_SECOND_NOT_SIGNED; 


OANDOBRWNHE 


10 HashSet<Signature> seti = new HashSet<Signature>() ; 
qt for ( Signature sig : s1 ) { 
12 seti.add( sig ) ; 


14 HashSet«Signature» set2 = new HashSet<Signature>() ; 
15 for ( Signature sig : S2 ) { 

16 set2.add( sig ) ; 

17} 

18 // Make sure s2 contains all signatures in s1 

19 if ( seti.equals ( set2 ) ) { 


20 return PackageManager.SIGNATURE MATCH; 
23! } 

22 return PackageManager .SIGNATURE_NO_MATCH; 
23 


代码 6.3 : PackageManagerService 中 的 comparesignatures 方法 
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